Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Stellen Sie von einer VPC aus eine Connect zu Amazon SageMaker AI-Ressourcen her
**Wichtig**
Die folgenden Informationen gelten sowohl für Amazon SageMaker Studio als auch für Amazon SageMaker Studio Classic. Die gleichen Konzepte für das Herstellen einer Verbindung zu Ressourcen innerhalb einer VPC gelten sowohl für Studio als auch für Studio Classic.
Amazon SageMaker Studio- und SageMaker AI-Notebook-Instances ermöglichen standardmäßig direkten Internetzugang. SageMaker Mit KI können Sie beliebte Pakete und Notebooks herunterladen, Ihre Entwicklungsumgebung anpassen und effizient arbeiten. Dies könnte jedoch eine Möglichkeit für den unbefugten Zugriff auf Ihre Daten bieten. Wenn Sie zum Beispiel bösartigen Code in Form eines öffentlich zugänglichen Notebooks oder einer Quellcode-Bibliothek auf Ihrem Computer installieren, könnte dieser auf Ihre Daten zugreifen. Sie können einschränken, welcher Traffic auf das Internet zugreifen kann, indem Sie Ihre Studio- und SageMaker AI-Notebook-Instances in einer [Amazon Virtual Private Cloud (Amazon VPC) starten](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).
Eine Amazon Virtual Private Cloud ist ein virtuelles Netzwerk, das Ihrem AWS Konto gewidmet ist. Mit einer Amazon VPC können Sie den Netzwerkzugriff und die Internetverbindung Ihrer Studio- und Notebook-Instances steuern. Sie können den direkten Internetzugang entfernen, um eine zusätzliche Sicherheitsebene hinzuzufügen.
In den folgenden Themen wird beschrieben, wie Sie Ihre Studio-Instances und Notebook-Instances mit Ressourcen in einer VPC verbinden.
**Topics**
+ [Amazon SageMaker Studio in einer VPC mit externen Ressourcen Connect](studio-updated-and-internet-access.md)
+ [Verbinden von Studio-Notebooks in einer VPC mit externen Ressourcen](studio-notebooks-and-internet-access.md)
+ [Verbinden einer Notebook-Instance in einer VPC mit externen Ressourcen](appendix-notebook-and-internet-access.md)
# Amazon SageMaker Studio in einer VPC mit externen Ressourcen Connect
**Wichtig**
Seit dem 30. November 2023 heißt das vorherige Amazon SageMaker Studio-Erlebnis jetzt Amazon SageMaker Studio Classic. Der folgende Abschnitt bezieht sich auf die Verwendung der aktualisierten Studio-Erfahrung. Informationen zur Verwendung der Studio-Classic-Anwendung finden Sie unter [Amazon SageMaker Studio Klassisch](studio.md).
Das folgende Thema enthält Informationen dazu, wie Sie Amazon SageMaker Studio in einer VPC mit externen Ressourcen verbinden.
**Topics**
+ [Standardkommunikation mit dem Internet](#studio-notebooks-and-internet-access-default-setting)
+ [`VPC only` Kommunikation mit dem Internet](#studio-notebooks-and-internet-access-vpc-only)
## Standardkommunikation mit dem Internet
Standardmäßig bietet Amazon SageMaker Studio eine Netzwerkschnittstelle, die die Kommunikation mit dem Internet über eine von SageMaker KI verwaltete VPC ermöglicht. Der Datenverkehr zu AWS Diensten wie Amazon S3 erfolgt über ein Internet-Gateway, ebenso wie der Datenverkehr, der auf die SageMaker KI-API und die SageMaker KI-Laufzeit zugreift. CloudWatch Der Datenverkehr zwischen der Domain und Ihrem Amazon EFS-Volume wird über die VPC abgewickelt, die Sie beim Onboarding in die Domain oder beim Aufruf der API angegeben haben. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)
## `VPC only` Kommunikation mit dem Internet
Um zu verhindern, dass SageMaker KI den Internetzugang für Studio bereitstellt, können Sie den Internetzugang deaktivieren, indem Sie beim [Onboarding in Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) oder beim Aufrufen der API den `VPC only` Netzwerkzugriffstyp angeben. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Daher können Sie Studio nur ausführen, wenn Ihre VPC über einen Schnittstellenendpunkt zur SageMaker API und Runtime oder über ein NAT-Gateway mit Internetzugang verfügt und Ihre Sicherheitsgruppen ausgehende Verbindungen zulassen.
**Anmerkung**
Der Netzwerkzugriffstyp kann nach der Erstellung der Domain mithilfe des `--app-network-access-type` Parameters des Befehls [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html) geändert werden.
### Voraussetzungen für die Nutzung des `VPC only` Modus
Wenn Sie `VpcOnly` ausgewählt haben, führen Sie die folgenden Schritte aus:
1. Sie dürfen nur private Subnetze verwenden. Sie können öffentliche Subnetze nicht im `VpcOnly` Modus verwenden.
1. Stellen Sie sicher, dass Ihre Subnetze über die erforderliche Anzahl an IP-Adressen verfügen. Die erwartete Anzahl an IP-Adressen, die pro Benutzer benötigt werden, kann je nach Anwendungsfall variieren. Wir empfehlen zwischen 2 und 4 IP-Adressen pro Benutzer. Die gesamte IP-Adresskapazität für eine Domain ist die Summe der verfügbaren IP-Adressen für jedes Subnetz, die bei der Erstellung der Domain bereitgestellt wurden. Stellen Sie sicher, dass Ihre geschätzte IP-Adressnutzung die Kapazität nicht überschreitet, die von der Anzahl der von Ihnen bereitgestellten Subnetze unterstützt wird. Darüber hinaus kann die Verwendung von Subnetzen, die über viele Availability Zones verteilt sind, die Verfügbarkeit von IP-Adressen erhöhen. Weitere Informationen finden Sie unter [VPC und Subnetzdimensionierung](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) für. IPv4
**Anmerkung**
Sie können nur Subnetze mit einer Standard-Tenancy-VPC konfigurieren, in der Ihre Instance auf freigegebenen Hardware läuft. [Weitere Informationen zum Tenancy-Attribut für finden Sie unter Dedicated VPCs Instances.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
1.
**Warnung**
Wenn Sie den `VpcOnly` Modus verwenden, besitzen Sie teilweise die Netzwerkkonfiguration für die Domain. Wir empfehlen die bewährte Sicherheitsmethode, d. h. die Verwendung von Berechtigungen mit den geringsten Rechten auf eingehende und ausgehende Zugriffe, die durch Sicherheitsgruppenregeln bereitgestellt werden. Zu freizügige Regelkonfigurationen für eingehenden Datenverkehr könnten es Benutzern mit Zugriff auf die VPC ermöglichen, ohne Authentifizierung mit den Anwendungen anderer Benutzerprofile zu interagieren.
Richten Sie eine oder mehrere Sicherheitsgruppen mit Regeln für eingehenden und ausgehenden Datenverkehr ein, die den folgenden Datenverkehr zulassen:
+ [NFS-Verkehr über TCP auf Port 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) zwischen der Domain und dem Amazon EFS-Volume.
+ [TCP-Verkehr innerhalb der Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Dies ist für die Konnektivität zwischen der Jupyter Server Anwendung und den Kernel Gateway Anwendungen erforderlich. Sie müssen den Zugriff auf mindestens Ports im Bereich `8192-65535` zulassen.
Erstellen Sie für jedes Benutzerprofil eine eigene Sicherheitsgruppe und fügen Sie eingehenden Zugriff aus derselben Sicherheitsgruppe hinzu. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domainebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domainebene eingehenden Zugriff auf sich selbst zulässt, hätten alle Anwendungen in der Domain Zugriff auf alle anderen Anwendungen in der Domain.
1. Wenn Sie den Internetzugang zulassen möchten, müssen Sie ein [NAT-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) mit Internetzugang verwenden, z. B. über ein [Internet-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Wenn Sie den Internetzugang nicht zulassen möchten, [erstellen Sie Schnittstellen-VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink), damit Studio auf die folgenden Dienste mit den entsprechenden Dienstnamen zugreifen kann. Sie müssen diesen Endpunkten auch die Sicherheitsgruppen für Ihre VPC zuordnen.
+ SageMaker API:. `com.amazonaws.region.sagemaker.api`
+ SageMaker KI-Laufzeit:`com.amazonaws.region.sagemaker.runtime`. Dies ist erforderlich, um Endpunktaufrufe auszuführen.
+ Amazon S3: `com.amazonaws.region.s3`.
+ SageMaker Projekte:`com.amazonaws.region.servicecatalog`.
+ SageMaker Studio:`aws.sagemaker.region.studio`.
+ Alle anderen AWS Dienstleistungen, die Sie benötigen.
Wenn Sie das [SageMaker Python-SDK](https://sagemaker.readthedocs.io/en/stable/) verwenden, um Remote-Trainingsjobs auszuführen, müssen Sie auch die folgenden Amazon VPC-Endpunkte erstellen.
+ AWS -Security-Token-Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:. `com.amazonaws.region.logs` Dies ist erforderlich, damit das SageMaker Python-SDK den Status des Ferntrainingsjobs abrufen kann Amazon CloudWatch.
1. Wenn Sie die Domain im `VpcOnly` Modus von einem lokalen Netzwerk aus verwenden, stellen Sie eine private Konnektivität über das Netzwerk des Hosts her, auf dem Studio im Browser ausgeführt wird, und die Amazon-Ziel-VPC. Dies ist erforderlich, da die Studio-Benutzeroberfläche AWS Endpunkte mithilfe von API-Aufrufen mit temporären AWS Anmeldeinformationen aufruft. Diese temporären Anmeldeinformationen sind der Ausführungsrolle des protokollierten Benutzerprofils zugeordnet. Wenn die Domain im `VpcOnly` Modus in einem lokalen Netzwerk konfiguriert ist, definiert die Ausführungsrolle möglicherweise IAM-Richtlinienbedingungen, die die Ausführung von AWS Service-API-Aufrufen nur über die konfigurierten Amazon VPC-Endpunkte erzwingen. Dies führt dazu, dass API-Aufrufe, die über die Studio-Benutzeroberfläche ausgeführt werden, fehlschlagen. Wir empfehlen, dieses Problem mithilfe einer Oder-Verbindung zu lösen. [AWS Site-to-Site VPN[AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
**Anmerkung**
Bei Kunden, die im VPC-Modus arbeiten, können Firmenfirewalls Verbindungsprobleme mit Studio oder Anwendungen verursachen. Führen Sie die folgenden Prüfungen durch, wenn eines dieser Probleme auftritt, wenn SieStudio hinter einer Firewall verwenden.
Vergewissern Sie sich, dass die Studio-URL und URLs all Ihre Anwendungen auf der Zulassungsliste Ihres Netzwerks stehen. Beispiel:
```
*.studio.region.sagemaker.aws
*.console.aws.a2z.com
```
Vergewissern Sie sich, dass die Websocket-Verbindungen nicht blockiert sind. Jupyter verwendet Websockets.
**Weitere Informationen**
+ [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md)
+ [VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Verbinden von Studio-Notebooks in einer VPC mit externen Ressourcen
Das folgende Thema enthält Informationen dazu, wie Sie Studio-Notebooks in einer VPC mit externen Ressourcen verbinden.
## Standardkommunikation mit dem Internet
Standardmäßig bietet SageMaker Studio eine Netzwerkschnittstelle, die die Kommunikation mit dem Internet über eine von SageMaker KI verwaltete VPC ermöglicht. Der Datenverkehr zu AWS Diensten wie Amazon S3 und CloudWatch wird über ein Internet-Gateway abgewickelt. Der Datenverkehr, der auf die SageMaker API- und SageMaker AI-Laufzeit zugreift, wird ebenfalls über ein Internet-Gateway abgewickelt. Der Datenverkehr zwischen der Domain und dem Amazon EFS-Volume wird über die VPC abgewickelt, die Sie beim Onboarding in Studio oder beim Aufruf der API identifiziert haben. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Die folgende Abbildung zeigt die Standardkonfiguration.
![\[SageMaker Studio-VPC-Diagramm, das die direkte Nutzung des Internetzugangs darstellt.\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)
## `VPC only` Kommunikation mit dem Internet
Um zu verhindern, dass SageMaker KI Ihren Studio-Notebooks Internetzugang gewährt, deaktivieren Sie den Internetzugang, indem Sie den `VPC only` Netzwerkzugriffstyp angeben. Geben Sie diesen Netzwerkzugriffstyp [an, wenn Sie Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) einbinden oder die [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API aufrufen. Infolgedessen können Sie ein Studio-Notebook nur ausführen, wenn:
+ Ihre VPC hat einen Schnittstellen-Endpunkt zur SageMaker API und Runtime oder ein NAT-Gateway mit Internetzugang
+ Ihre Sicherheitsgruppen erlauben ausgehende Verbindungen
Das folgende Diagramm zeigt eine Konfiguration für die Verwendung des reinen VPC-Modus.
![\[SageMaker Studio-VPC-Diagramm, das die Verwendung des Nur-VPC-Modus darstellt.\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/studio/studio-vpc-private.png)
### Voraussetzungen für die Nutzung des `VPC only` Modus
Wenn Sie `VpcOnly` ausgewählt haben, führen Sie die folgenden Schritte aus:
1. Sie dürfen nur private Subnetze verwenden. Sie können öffentliche Subnetze nicht im `VpcOnly` Modus verwenden.
1. Stellen Sie sicher, dass Ihre Subnetze über die erforderliche Anzahl an IP-Adressen verfügen. Die erwartete Anzahl an IP-Adressen, die pro Benutzer benötigt werden, kann je nach Anwendungsfall variieren. Wir empfehlen zwischen 2 und 4 IP-Adressen pro Benutzer. Die gesamte IP-Adresskapazität für eine Studio-Domain ist die Summe der verfügbaren IP-Adressen für jedes Subnetz, die bei der Erstellung der Domain bereitgestellt wurden. Stellen Sie sicher, dass Ihre IP-Adressnutzung die Kapazität, die durch die Anzahl der von Ihnen bereitgestellten Subnetze unterstützt wird, nicht überschreitet. Darüber hinaus kann die Verwendung von Subnetzen, die über viele Availability Zones verteilt sind, die Verfügbarkeit von IP-Adressen erhöhen. Weitere Informationen finden Sie unter [VPC und Subnetzdimensionierung](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) für. IPv4
**Anmerkung**
Sie können nur Subnetze mit einer Standard-Tenancy-VPC konfigurieren, in der Ihre Instance auf freigegebenen Hardware läuft. [Weitere Informationen zum Tenancy-Attribut für finden Sie unter Dedicated VPCs Instances.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
1.
**Warnung**
Wenn Sie den `VpcOnly` Modus verwenden, besitzen Sie teilweise die Netzwerkkonfiguration für die Domain. Wir empfehlen die bewährte Sicherheitsmethode, d. h. die Verwendung von Berechtigungen mit den geringsten Rechten auf eingehende und ausgehende Zugriffe, die durch Sicherheitsgruppenregeln bereitgestellt werden. Zu freizügige Regelkonfigurationen für eingehenden Datenverkehr könnten es Benutzern mit Zugriff auf die VPC ermöglichen, ohne Authentifizierung mit den Anwendungen anderer Benutzerprofile zu interagieren.
Richten Sie eine oder mehrere Sicherheitsgruppen mit Regeln für eingehenden und ausgehenden Datenverkehr ein, die den folgenden Datenverkehr zulassen:
+ [NFS-Verkehr über TCP auf Port 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) zwischen der Domain und dem Amazon EFS-Volume.
+ [TCP-Verkehr innerhalb der Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Dies ist für die Konnektivität zwischen der Jupyter Server Anwendung und den Kernel Gateway Anwendungen erforderlich. Sie müssen den Zugriff auf mindestens Ports im Bereich `8192-65535` zulassen.
Erstellen Sie für jedes Benutzerprofil eine eigene Sicherheitsgruppe und fügen Sie eingehenden Zugriff aus derselben Sicherheitsgruppe hinzu. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domainebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domainebene eingehenden Zugriff auf sich selbst zulässt, haben alle Anwendungen in der Domain Zugriff auf alle anderen Anwendungen in der Domain.
1. Wenn Sie den Internetzugang zulassen möchten, müssen Sie ein [NAT-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) mit Internetzugang verwenden, z. B. über ein [Internet-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Um den Internetzugang zu entfernen, [erstellen Sie Schnittstellen-VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink), damit Studio mit den entsprechenden Dienstnamen auf die folgenden Dienste zugreifen kann. Sie müssen diesen Endpunkten auch die Sicherheitsgruppen für Ihre VPC zuordnen.
+ SageMaker API: `com.amazonaws.region.sagemaker.api`
+ SageMaker KI-Laufzeit:`com.amazonaws.region.sagemaker.runtime`. Dies ist erforderlich, um Studio-Notebooks auszuführen und Modelle zu trainieren und zu hosten.
+ Amazon S3: `com.amazonaws.region.s3`.
+ Um SageMaker Projekte zu verwenden:`com.amazonaws.region.servicecatalog`.
+ Alle anderen AWS Dienste, die Sie benötigen.
Wenn Sie das [SageMaker Python-SDK](https://sagemaker.readthedocs.io/en/stable/) verwenden, um Remote-Trainingsjobs auszuführen, müssen Sie auch die folgenden Amazon VPC-Endpunkte erstellen.
+ AWS -Security-Token-Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:. `com.amazonaws.region.logs` Dies ist erforderlich, damit das SageMaker Python-SDK den Status des Ferntrainingsjobs abrufen kann Amazon CloudWatch.
**Anmerkung**
Bei einem Kunden, der im VPC-Modus arbeitet, können Firmenfirewalls Verbindungsprobleme mit SageMaker Studio oder zwischen JupyterServer und dem verursachen. KernelGateway Führen Sie die folgenden Prüfungen durch, wenn Sie auf eines dieser Probleme stoßen, wenn Sie SageMaker Studio hinter einer Firewall verwenden.
Vergewissern Sie sich, dass die Studio-URL auf der Zulassungsliste Ihres Netzwerks steht.
Vergewissern Sie sich, dass die Websocket-Verbindungen nicht blockiert sind. Jupyter verwendet Websocket unter der Haube. Wenn die KernelGateway Anwendung dies ist InService, JupyterServer kann möglicherweise keine Verbindung zum hergestellt werden KernelGateway. Dieses Problem sollte auch auftreten, wenn Sie das System Terminal öffnen.
**Weitere Informationen**
+ [Sicherung der Amazon SageMaker Studio-Konnektivität mithilfe einer privaten VPC](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md)
+ [VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Verbinden einer Notebook-Instance in einer VPC mit externen Ressourcen
Das folgende Thema enthält Informationen dazu, wie Sie Ihre Notebook-Instance in einer VPC mit externen Ressourcen verbinden.
## Standardkommunikation mit dem Internet
Wenn Ihr Notebook *direkten Internetzugang* ermöglicht, stellt SageMaker KI eine Netzwerkschnittstelle bereit, über die das Notebook über eine von SageMaker KI verwaltete VPC mit dem Internet kommunizieren kann. Der Verkehr innerhalb der CIDR Ihrer VPC läuft über die elastische Netzwerkschnittstelle, die in Ihrer VPC erstellt wurde. Der gesamte andere Datenverkehr wird über die von SageMaker KI erstellte Netzwerkschnittstelle abgewickelt, die im Wesentlichen über das öffentliche Internet abgewickelt wird. Der Datenverkehr zu Gateway-VPC-Endpunkten wie Amazon S3 und DynamoDB läuft über das öffentliche Internet, während der Datenverkehr zu Schnittstellen-VPC-Endpunkten weiterhin über Ihre VPC läuft. Wenn Sie Gateway-VPC-Endpunkte verwenden möchten, sollten Sie den direkten Internetzugang deaktivieren.
## Nur-VPC-Kommunikation mit dem Internet
Um den direkten Internetzugriff zu deaktivieren, können Sie eine VPC für Ihre Notebook-Instance angeben. Auf diese Weise verhindern Sie, dass SageMaker KI Internetzugriff auf Ihre Notebook-Instanz bereitstellt. Infolgedessen kann die Notebook-Instance keine Modelle trainieren oder hosten, es sei denn, Ihre VPC verfügt über einen Schnittstellenendpunkt (AWS PrivateLink) oder ein NAT-Gateway und Ihre Sicherheitsgruppen erlauben ausgehende Verbindungen.
Informationen zum Erstellen eines VPC-Schnittstellenendpunkts, der AWS PrivateLink für Ihre Notebook-Instance verwendet werden soll, finden Sie unter[Herstellen einer Verbindung zu einer Notebook-Instance über einen VPC-Schnittstellenendpunkt](notebook-interface-endpoint.md). Informationen zum Einrichten eines NAT-Gateways für Ihre VPC finden Sie unter [VPC with Public and Private Subnets (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) im *Amazon Virtual Private Cloud User Guide*. Weitere Informationen zu Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html). Weitere Informationen zu Netzwerkkonfigurationen in den einzelnen Netzwerkmodi und zur Konfiguration des Netzwerks vor Ort finden Sie unter [Grundlegendes zu Netzwerkkonfigurationen und erweiterten Routing-Optionen von Amazon SageMaker Notebook-Instances](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/).
**Warnung**
Wenn Sie eine VPC für Ihre Notebook-Instance verwenden, besitzen Sie teilweise die Netzwerkkonfiguration für die Instance. Als bewährte Sicherheitsmethode empfehlen wir, für den eingehenden und ausgehenden Zugriff, den Sie mit Ihren Sicherheitsgruppenregeln zulassen, Berechtigungen mit geringsten Privilegien anzuwenden. Wenn Sie zu freizügige Regelkonfigurationen für eingehenden Datenverkehr anwenden, können Benutzer, die Zugriff auf Ihre VPC haben, auf Ihre Jupyter Notebooks zugreifen, ohne sich zu authentifizieren.
## Sicherheit und gemeinsam genutzte Notebook-Instances
Eine SageMaker Notebook-Instance ist so konzipiert, dass sie für einen einzelnen Benutzer am besten funktioniert. Damit erhalten Datenexperten und andere Benutzer eine leistungsstarke Verwaltung für ihre Entwicklungsumgebung.
Ein Notebook-Instance-Benutzer hat Root-Zugriff, um Pakete und andere relevante Software zu installieren. Wir empfehlen, dass Sie Vorsicht walten lassen, wenn Sie einzelnen Benutzern Zugriff auf Notebook-Instances gewähren, die mit einer VPC verbunden sind, welche vertrauliche Informationen enthält. Beispielsweise können Sie einem Benutzer Zugriff auf eine Notebook-Instance mit einer IAM-Richtlinie gewähren, indem Sie ihm die Möglichkeit geben, eine vorab signierte Notebook-URL zu erstellen, wie im folgenden Beispiel gezeigt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------